Nye oppdaterte standardkontrakter fra EU-kommisjonen

Publisert 11.06.2021

Siden EU-domstolens avsigelse i juli 2020 har den såkalte Schrems II-dommen fått mye oppmerksomhet. Dommen endret betingelsene for når personopplysninger lovlig kan overføres til tredjeland, og har siden avsigelsen skapt en rekke praktiske utfordringer for både små og store virksomheter over hele verden.

Schrems II-dommen ble starten på slutten for Privacy Shield-avtalen mellom EU/EØS og USA som overføringsgrunnlag på grunn av amerikanske myndigheters vide overvåkingshjemler. Dommen har også betydning for andre overføringsgrunnlag, slik som EU-kommisjonens standardkontrakter. Ifølge Schrems II-dommen er EU-kommisjonens standardkontrakter fortsatt gyldig som overføringsgrunnlag, men med forbehold om at virksomheten det overføres personopplysninger til ikke er underlagt lokal lovgivning som undergraver forpliktelsene som følger av overføringsgrunnlaget. Dersom det foreligger forhold hos mottaker som ikke er forenlig med forpliktelsene i overføringsgrunnlaget skal det iverksettes «ytterligere tiltak» for å bøte på dette. I tråd med at EUs standardkontrakter fortsatt er gyldige som overføringsgrunnlag, har EU-kommisjonen nå som nevnt utarbeidet to oppdaterte sett med standardkontrakter.

Dersom du ønsker mer informasjon om Schrems II og Det Europeiske Personvernrådets (EDPB) forslag til retningslinjer kan du lese våre artikler om temaene: EU-dom gjør det vanskeligere å overføre persondata og Etterlengtede retningslinjer fra EDPB etter Schrems II.

Oppdatert innhold i lys av GDPR og Schrems II

Sikre tilstrekkelig beskyttelse av personopplysninger

De oppdaterte standardkontraktene er tilpasset den teknologiske utviklingen i samfunnet og kravene som stilles i både personvernforordningen (GDPR) og Schrems II-dommen. Formålet er å sikre at europeeres personopplysninger er tilstrekkelig beskyttet, også ved en eventuell overføring til tredjeland. Dataimportør og eksportør kan inkludere standardkontraktene i et allerede eksisterende avtalesett eller legge til ytterligere klausuler hvis ønskelig, så lenge de ikke direkte eller indirekte er i strid med standardkontraktenes klausuler eller har negativ påvirkning på de registrertes rettigheter og friheter.

Mer fleksibilitet

Sammenliknet med de tidligere standardkontraktene er de nye oppdaterte versjonene mer fleksible. De er utarbeidet slik at de kan benyttes i komplekse behandlingssituasjoner. I tillegg til flere standardklausuler, består de oppdaterte standardavtalene av ulike moduler, hvor partene velger de modulene som passer best i det konkrete tilfellet. Eksempelvis inneholder standardkontrakten for overføring av personopplysninger til tredjeland følgende moduler:

• Modul 1 gjelder for overføring fra en behandlingsansvarlig til en annen.
• Modul 2 regulerer overføring fra en behandlingsansvarlig til en databehandler.
• Modul 3 har klausuler som er tilpasset en overføring fra en databehandler til en annen.
• Modul 4 har klausuler tilpasset overføring fra en databehandler til en behandlingsansvarlig.

Ved å ha ulike moduler i standardkontrakten kan partene enkelt skreddersy standardkontraktene til den konkrete behandlingssituasjonen og de ulike partenes roller og ansvar.

I tillegg til dette, åpnes det opp for at flere enn to parter kan inngå kontrakten og at nye parter kan tiltre i etterkant. Sett i sammenheng med de stadig mer komplekse behandlingssituasjonene hvor stadig flere aktører er involvert, er dette hensiktsmessige og svært praktiske endringer.

Konkret håndtering av krav fremsatt i Schrems II-dommen

Standardkontrakten for overføring til tredjeland er utformet i tråd med kravene fremsatt i Schrems II-dommen. EU-kommisjonen uttaler at partene bør adressere hvilke konsekvenser tredjelandets lovgivning eventuelt har på dataimportørens oppfyllelse av kontrakten. I den oppdaterte standardkontrakten for overføring til tredjeland er følgende temaer regulert:

• Vurdere lokal lovgivning. Det følger av standardkontrakten for overføring at partene på tidspunktet for avtaleinngåelse skal garantere at de ikke har noen grunn til å tro at lover eller praksis i mottakerlandet kan forhindre dataimportørens oppfyllelse av standardkontrakten. Garantien skal være gitt basert på den konkrete overføringssituasjonen. Dette innebærer at partene skal ha tatt hensyn til tre forhold: 1) de spesielle omstendighetene ved overføringen, herunder behandlingskjedens lengde, antallet aktører som er involvert, mottakers identitet, formålet med behandlingen, kategorier av personopplysninger som overføres og personopplysningenes lagringssted, 2) de relevante lover og praksis i mottakerlandet og 3) relevante kontraktuelle, tekniske og organisatoriske tiltak som er iverksatt.

Hvis dataimportøren etter avtaleinngåelsen finner at den ikke har mulighet til å overholde standardkontraktens klausuler, skal den varsle dataeksportøren. Dersom dataeksportøren får et slikt varsel eller på annen måte blir oppmerksom på at dataimportøren ikke lenger er i stand til å overholde standardkontrakten, skal eksportøren identifisere hensiktsmessige tiltak for å håndtere situasjonen. Hvis nødvendig skal den relevante tilsynsmyndigheten, i vårt tilfelle Datatilsynet, konsulteres. Dersom dataeksportøren finner at overføringen ikke lenger er sikker eller dersom den relevante tilsynsmyndigheten bestemmer det, skal overføringen opphøre.

• Varsling ved forespørsel fra offentlige myndigheter. Dataimportøren skal omgående varsle dataeksportøren, og om mulig de registrerte, dersom den mottar en rettslig bindende forespørsel fra en offentlig myndighet om tilgjengeliggjøring av personopplysninger, eller dataimportøren blir klar over at offentlige myndigheter har en direkte tilgang til personopplysningene. Varslet skal inneholde all informasjon som dataimportøren har tilgjengelig, herunder eksempelvis personopplysningene som er etterspurt, hvilken myndighet som har sendt forespørsel og det rettslige grunnlaget for forespørselen.
• Vurdere lovligheten av forespørselen. Dataimportøren skal videre vurdere lovligheten av den offentlige myndighetens forespørsel, og utfordre denne hvis dataimportøren vurderer at forespørselen er ulovlig etter mottakerlandets rett. Vurderingen av hvorvidt forespørselen er ulovlig skal dokumenteres, og den skal gjøres tilgjengelig for relevant tilsynsmyndighet.

Det kan være visse variasjoner i klausulenes ordlyd og utforming basert på hvilken modul partene velger.

Eksempler på ytterligere tiltak

I vedlegg II av standardkontrakten for overføring til tredjeland skal tekniske og organisatoriske tiltak som dataimportøren har iverksatt for å sikre en trygg overføring spesifiseres. Ved fastsettelsen av relevante tiltak skal behandlingens art, omfang, kontekst og formål tas i betraktning, samt risikoen for de registrertes rettigheter og friheter. Vedlegget inneholder også flere eksempler på hva som kan utgjøre tekniske og organisatoriske tiltak, herunder eksempelvis kryptering, pseudonymisering, logging og tiltak for å sikre systemkonfigurasjon. Her kan virksomheter hente inspirasjon og få veiledning ved behov.

Overgangsperiode

EU-kommisjonen uttaler at det for standardkontrakten for overføring av personopplysninger til tredjeland vil opereres med en overgangsperiode på tilsammen 18 måneder. Overgangsperioden er delt opp slik at det de neste 3 månedene er lov å benytte de eldre versjonene av standardkontraktene. Etter disse 3 månedene kan virksomheter i ytterligere 15 måneder bruke tidligere standardkontrakter, så lenge det ikke har skjedd store endringer i behandlingen. Etter 15 måneder (totalt 18 måneder), er det krav om at alle virksomheter har implementert de nye standardkontraktene. Overgangsperioden begynner å løpe fra 27. juni 2021, så fristen på 3 måneder vil dermed utløpe 27. september 2021. Den endelige overgangsperioden utløper 27. desember 2022.

Dette betyr at virksomheter som i dag benytter seg av EUs eldre standardkontrakter må være bevisst denne overgangsperioden, og foreta en grundig intern gjennomgang for å sørge for at alle overføringsgrunnlag for eksisterende overføringer til tredjeland oppdateres til de nye standardkontraktene innen fristen ved behov. For større virksomheter kan denne øvelsen være tidkrevende.

Er overføringsproblematikken herved løst?

Beklageligvis er svaret på dette spørsmålet nei. Tilleggsvilkåret om at «ytterligere tiltak» må iverksettes dersom det skal overføres personopplysninger til tredjeland som ikke kan sikre tilstrekkelig beskyttelse av personopplysningene gjelder fortsatt, og vil dermed fortsatt skape praktiske utfordringer. Det gjenstår å se hva EDPBs endelige retningslinjer om temaet sier, og om disse løser utfordringene eller forsterker dem. I høringsrunden har nemlig en rekke aktører kommet med tilbakemeldinger om at en objektiv vurdering er utfordrende i praksis, og at en risikobasert tilnærming ikke bare er det mest praktiske, men også i samsvar med GDPRs system.

Videre blir det spennende å følge utviklingen på utarbeidelsen av en avtale som kan erstatte den ugyldiggjorte Privacy Shield-avtalen. De færreste forventer nok at det vil komme en ny gyldig Privacy Shield-avtale i nærmeste fremtid, men dette betyr ikke at arbeidet med en slik ny avtale er nedprioritert. Både EU og USA ønsker å få på plass en god avtale om dataoverføring – og ingen ønsker en Schrems III-dom.

Vi følger utviklingen

Har du spørsmål om forståelsen, utformingen eller implementeringen av standardkontraktene eller andre personvernrelaterte spørsmål om overføring av personopplysninger til tredjeland, er det bare å ta kontakt.

Les mer om de oppdaterte standardkontraktene her og her.